» »

netsky virus

netsky virus

butnskala ::

Problem: imam lokalno omrežje, okoli 50 uporabnikov, z ip-ji 192.168.0.x, na koncu pa linux firewall (iptables) za dostop v svet. Eden (ali morda več) rač. z lokalnega omrežja je okužen z virusom netsky.

Vprašanje - kako naj ga najdem, ne da bi šel vsako mašino posebej preverjat (sami windozi).
  • spremenil: CaqKa ()

Bakunin ::

there are many ways to skin a cat:

z iptables ujames vse kar gre VEN na smtp port (tcp/25) in preusmeris na lokalni smtp ali pa enostavno zablokiras vse kar gre ven na smtp, ampak ni iz intranet smtp serverja.

redirect:
iptables -t nat -A PREROUTING -i ! Internet_interface -p tcp -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 25 -j REDIRECT --to-ports 25

drop (recimo daje smtp hkrati na "routerju")
iptables -t nat -A PREROUTING -i ! Internet_interface -p tcp -s ! ip_intranet_smtp -d ! 192.168.0.0/24 --dport 25 -j DROP

DMouse ::

Ugotovi kateri ip največ uporablja port 25 (destination).

LP

butnskala ::

Hvala vsem - ga že lovim. Uporabil sem kar najširšo mrežo

iptables -i ! eth0 -p tcp -dport 25 -j LOG --log-prefix "hop cefizelj pa te imam "

Bakunin ::

ta "redirect" je dobro imeti kar vkljucen. Tako nisi izvor "zla" ob naslednji okuzbi in imas intranet pod kontrolo.

hint: isto se da narediti tudi za dns (tcp/53 + udp/53). :D

butnskala ::

Saj nameravam zgornji logging obdržat - upam, da me ne bo kdo tožil zaradi vdiranja v zasebnost, saj tako točno vem, kdaj in kdo kaj pošilja.

Še en Q - zakaj bi logiral (oz. dropal) DNS ?

Bakunin ::

nisem mislil da bi onemogocil DNS, ampak da bi DNS poizvedbe, ki prihajajo iz intraneta preusmeril na svoj DNS "resolver/cache".

Pohitrilo bo "resolvanje" domen ter ti omogocilo da dolocene domene onemogocis oz. preuredis.>:D

npr. ce imas bind ali nsd:

zone "kazaa.com" {
file "/dev/null";
type master; }

(dns is the root of all evil, bgp is the route of all evil)

butnskala ::

Po mesecu dni in ujetih treh okužbah, pa mi tokrat kot kaže nekaj ne gre. Od zunaj me opozarjajo, da širim okužbo, glede na loge predvidevam, da gre za bagle.w ali bagle.z virus, vendar pa očitno ne gre nič preko smtp porta (25). Zdaj pa ne vem - vsega tudi ne morem lovit. Na kaj naj se osredotočim?
:P

Bakunin ::



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema
252177 (1999) SasoS
»

IPTables

Oddelek: Operacijski sistemi
211929 (1558) Brane2
»

pomoč pri iptables

Oddelek: Omrežja in internet
102537 (2366) HellRaiseR
»

Linux & port forwarding

Oddelek: Operacijski sistemi
131160 (1015) Gandalfar
»

iptables + forward

Oddelek: Operacijski sistemi
332285 (1860) tx-z

Več podobnih tem